Im März brachen Hacker in das Ronin-Netzwerk ein, eine beliebte Ethereum-kompatible Blockchain, und stahlen erfolgreich Ethereum- und USDC-Token im Wert von 625 Millionen US-Dollar von Tausenden von Benutzern.
Es ist die gleiche Geschichte, die wir schon zu oft gehört haben: Ein schlechter Akteur stiehlt oder entfernt auf andere Weise den Zugriff auf den Speicher digitaler Assets von jemandem, und obwohl er oft genau sehen kann, wo sich sein Eigentum in der Blockchain „befindet“, bleiben für die Opfer keine offensichtliche Möglichkeit übrig, dieses Eigentum zurückzubekommen. Gleichzeitig werfen die Verantwortlichen dieser Blockchains die Hände in die Luft und beklagen, was für eine Tragödie es ist, dass ihre Benutzer einen solchen Verlust erlitten haben und dass es einfach nichts gibt, was sie oder irgendjemand sonst tun kann, um ihn zu beheben.
Aber das muss nicht sein.
Ungefähr zur gleichen Zeit, als Hacker mit dem Ronin-Hack einen der größten Diebstähle digitaler Vermögenswerte in der Geschichte verübten, lehnte ein britisches Oberster Gerichtshof die Zuständigkeit für einen bahnbrechenden Rechtsfall ab, der den Weg für die Opfer des Diebstahls digitaler Vermögenswerte geebnet hätte die Gerichte zu nutzen, um die Kontrolle über ihr Eigentum zurückzugewinnen.
Dieser Fall wurde von Dr. Craig Wright über seine Firma Tulip Trading vorgebracht, die bereits im Februar 2020 den Zugriff auf 111.000 Bitcoin verlor, was durch einen Hack in Dr. Wrights Heimnetzwerk verursacht wurde, der die für den Zugriff auf die Vermögenswerte erforderlichen Schlüssel zerstörte.
Dr. Wright argumentierte, dass es im Gegensatz zu einigen Annahmen nicht nur Menschen gibt, die befugt sind, den Zugang zu digitalen Assets für Menschen wie Dr. Wright zurückzugeben, sondern dass diese Menschen auch etablierte gesetzliche Pflichten haben, die sie dazu zwingen.
Die besonderen Pflichten, für die Dr. Wright argumentierte, sind treuhänderische Pflichten und unerlaubte Pflichten. Eine Treuepflicht entsteht, wenn sich eine Person verpflichtet hat, für andere in einer Weise zu handeln, die ein Vertrauensverhältnis begründet. Deliktische Pflichten sind typischerweise mit Fällen von Fahrlässigkeit verbunden, bei denen ein Kläger nachweisen muss, dass der Beklagte ihm eine Sorgfaltspflicht bei der Ausführung einiger Handlungen schuldete, von denen vernünftigerweise vorhersehbar ist, dass sie einen Schaden verursachen.
Insofern ist das Argument gar nicht neu. Dr. Wright argumentiert lediglich, dass die bereits gesetzlich anerkannten Pflichten für Protokollsoftware-Ingenieure der Blockchain gelten. Beispielsweise werden treuhänderische Pflichten bereits in einer Vielzahl von Kontexten anerkannt. Finanzberater und die Anleger, die sich auf ihren Rat verlassen, Rechtsanwälte und ihre Kunden, Vorstandsmitglieder von Unternehmen und ihre Aktionäre sind allesamt Beziehungen, die nach dem Gesetz besondere Pflichten begründen.
Am wichtigsten (und im Widerspruch zu den Argumenten der Anwälte gegen die Klage von Dr. Wright) ist die Idee, dass Softwareingenieure Maßnahmen ergreifen können (und sollten), um die Auswirkungen einer Netzwerkverletzung zu beheben, auch nicht neu, trotz Protesten bestimmter Blockchain Ingenieure, dass die „dezentralisierte“ Natur ihrer Blockchains eine solche Vorstellung unhaltbar macht.
Nehmen Sie zum Beispiel BTC: Die Ingenieure, die das Netzwerk betreiben und kontrollieren, können Coins markieren und einfrieren, von denen sie wissen, dass sie gestohlen wurden, und sie an den rechtmäßigen Eigentümer zurückgeben. Für manche scheint dies eine radikale Idee zu sein, aber das sollte es nicht sein. Tatsächlich war ein solcher Mechanismus namens Alert Key Teil des ursprünglichen Bitcoin-Protokolls, bis er 2016 entfernt wurde, und es bleibt in der Macht derjenigen, die diese Netzwerke kontrollieren, denselben oder einen funktional ähnlichen Mechanismus wiederherzustellen.
Es ist sicherlich nicht neu für Ethereum, dessen Protokollsoftware-Ingenieure bereits massive Änderungen am Netzwerk als Reaktion auf Angriffe vorgenommen haben, genau wie das, was kürzlich Ronin passiert ist. Im Jahr 2016 wurde ein Projekt namens The DAO (Decentralized Autonomous Organization) auf der Ethereum-Blockchain veröffentlicht und war als eine Art von Investoren gesteuerter Risikokapitalfonds gedacht. Nachdem er über einen 28-tägigen Finanzierungszeitraum 150 Millionen US-Dollar von über 11.000 Investoren eingenommen hatte, nutzte ein Hacker nur wenige Monate nach Abschluss der Finanzierung einen Netzwerk-Exploit, um ein Drittel der Gelder des DAOs in seine eigene Wallet zu leiten.
Dies stellte eine existenzielle Bedrohung für Ethereum dar, da das anfällige DAO 15% aller Ether enthielt. Der Ausfall des DAOs hätte drastische nachteilige Auswirkungen auf das gesamte Netzwerk und würde sich auf alle Unternehmen auswirken, die ihr Produkt auf Ethereum aufgebaut haben, und auf alle Personen, die Ether oder einen von Ethereum abgeleiteten Token gekauft haben.
Diejenigen, die die Kontrolle über Ethereum haben, wie Vitalik Buterin, standen vor genau der gleichen Wahl, die jedem Blockchain-Ingenieur zur Verfügung steht, wenn es um ein ähnliches böswilliges Ereignis geht: entweder nichts im Namen der Unveränderlichkeit des Registers tun und denen, die es tun, „Pech“ einen Verlust erlitten zu haben sagen oder Maßnahmen ergreifen. Ethereum handelte: Unter der Leitung der Protokollsoftware- Ingenieure von Ethereum wurde die Entscheidung getroffen, das Netzwerk zu forken, um die Gelder zurückzuerhalten.
Dass die Softwareentwickler dazu in der Lage waren, macht die Absurdität, diese Operationen als „dezentralisiert“ zu bezeichnen, deutlich. Obwohl einige Versuche unternommen wurden, die breitere Gemeinschaft darüber zu befragen, wie mit dem Problem umgegangen werden sollte, fanden diese wenig Engagement. Weniger als 6 % der Ethereum-Inhaber nahmen an der Abstimmung teil, und 25 % der Stimmen kamen von einer einzigen Ethereum-Adresse. Trotzdem gingen die Software-Ingenieure mit einem Hard Fork vor. Selbst bei maximalem Engagement bei einer solchen Abstimmung wurden die Lösungen von den Kernentwicklern von Ethereum entwickelt, vorgeschlagen und veröffentlicht.
Vitalik Buterin selbst hat erkannt, dass die „Dezentralisierung“ von Ethereum ein Mythos ist. 2017 sagte er einem Interviewer:
„Es ist in gewisser Weise technokratisch, denn im Moment gibt es eine kleine Gruppe von Menschen, die all die verschiedenen technischen Überlegungen zu Ethereum wirklich genau verstehen – viele Entscheidungen werden in der Regel von einer kleinen Gruppe getroffen. Aber längerfristig wollen wir das definitiv demokratisieren.“
Mit anderen Worten ist es also nicht dezentral.
Die Reaktion von Ethereum auf den jüngsten Ronin-Hack sollte diese Frage ein für alle Mal beantworten: Im Gegensatz zu ihrem schnellen Vorgehen beim DAO-Hack scheint niemand, der die Kontrolle über Ethereum hat, motiviert zu sein, ähnlich weitreichende Änderungen zum Schutz dieser jüngsten Opferwelle vorzunehmen, obwohl dies bereits bewiesen wurde, dass es in ihrer Macht steht, dies zu tun.
Dasselbe gilt für praktisch jede öffentliche Blockchain. Solange das Protokoll, das ein bestimmtes Netzwerk regelt, offen für Änderungen ist und solche Änderungen von einer definierten Gruppe von Softwareingenieuren eingeführt und implementiert werden, gibt es keine Dezentralisierung. Es wäre eine triviale Angelegenheit für ein Gericht, eine Anordnung zu erlassen, die diese Entwickler auffordert, einen bestimmten Satz von Coins einzufrieren und sie ihrem rechtmäßigen Eigentümer zuzuweisen – so trivial wie es für Vitalik war, Ethereum nach dem DAO-Hack zu forken, oder für BTC-Entwickler die Freeze-and-Return- Funktion aus dem ursprünglichen Bitcoin-Protokoll zu entfernen.
Die Tatsache, dass sie diese Maßnahmen ergreifen können und sich dennoch in der Lage fühlen, sich dagegen zu entscheiden, ist ein großes Problem für die Digital Asset Industrie, die nur wachsen kann, wenn Regierungen und Unternehmen zuversichtlich sind, dass sie rechtmäßig wachsen können. Solange die Leute immer noch fälschlicherweise glauben, dass das Gesetz nicht für digitale Assets gilt, nur weil die Technologie neu ist, wird das Vertrauen nie kommen. Es sind Klagen wie die von Dr. Wright, die genau festlegen werden, wie der aktuelle Schutz durch Gesetze auf neue Technologien anzuwenden ist.
Obwohl der Oberste Gerichtshof des Vereinigten Königreichs einer gerichtlichen Anfechtung durch die beklagten Entwickler stattgegeben hat, ist dies mit ziemlicher Sicherheit nicht das Ende der Entwicklerhaftungsfrage. Eine Berufung von Dr. Wright ist unvermeidlich. Auch ohne Berufung und obwohl das Gericht in der Rechtsprechungsphase gegen Dr. Wright entschieden hat, kann das Urteil nicht als Hinweis darauf gelesen werden, dass Entwickler keine Pflichten gegenüber denen haben, die sich aus rechtlichen Gründen auf ihre Blockchains verlassen. Tatsächlich ließ Richter Falk die Tür zu Beanspruchungen ausdrücklich offen, wenn die Fakten etwas anders wären:
„Dies ist kein Fall, in dem behauptet wird, dass die Beklagten bei der Aktualisierung der Software in ihrem eigenen Interesse und gegen die Interessen der Eigentümer gehandelt haben, beispielsweise indem sie zu ihrem eigenen Vorteil einen Fehler oder eine Funktion eingeführt haben, die die Sicherheit der Eigentümer kompromittiert haben, sondern dienten ihren eigenen Zwecken. Ich kann sehen, dass es denkbar ist, dass in dieser Situation irgendeine Form von Pflicht eingegangen werden könnte, obwohl es eine andere Frage ist, ob es richtig als Treuhandspflicht bezeichnet werden würde.“
Es gibt keine Regel, die besagt, dass diejenigen, die Opfer des Diebstahls digitaler Vermögenswerte sind, keinen Rückgriff auf die einzigen Personen haben, die die Macht haben, ihren Verlust zu beheben. Ein solches Argument ist sehr praktisch für die Blockchain- Entwickler, die sich über dem Gesetz stehen fühlen, und Entwickler wie Vitalik Buterin, die gerne auswählen, welche Diebstähle es wert sind, eingegriffen zu werden und welche nicht.
Diese Einstellung wird jedes Mal unhaltbarer, wenn ein Dieb mit Eigentum im Wert von Hunderten von Millionen Dollar davonkommt und die einzigen Personen, die die Macht haben, etwas dagegen zu unternehmen – die Entwickler – entscheiden, diesen Moment zu wählen, um sich um „Unveränderlichkeit“ und die Integrität der Blockchain zu kümmern. Diese Tage sind gezählt, und Klagen wie die von Dr. Wright zeigen die Blaupause, um diese Menschen an ihre gesetzlichen Verpflichtungen zu halten – auch wenn es einige Zeit dauern wird, bis die Gerichte aufholen.